موصل Logic WebCTRL التلقائي ل Microsoft Sentinel
يمكنك دفق سجلات التدقيق من خادم WebCTRL SQL المستضاف على أجهزة Windows المتصلة ب Microsoft Sentinel. يمكنك هذا الاتصال من عرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. وهذا يعطي رؤى حول أنظمة التحكم الصناعية الخاصة بك التي تتم مراقبتها أو التحكم فيها بواسطة تطبيق WebCTRL BAS.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | الحدث (AutomatedLogic-WebCTRL) |
| دعم قواعد جمع البيانات | غير مدعوم حاليًا |
| مدعومة من قبل | Microsoft Corporation |
عينات الاستعلام
إجمالي التحذيرات والأخطاء التي أثارها التطبيق
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
إرشادات تثبيت المورد
- تثبيت وكيل Microsoft لنظام التشغيل Windows وإلحاقه.
تعرف على إعداد العامل وإعداد أحداث windows.
يمكنك تخطي هذه الخطوة إذا قمت بالفعل بتثبيت عامل Microsoft ل Windows
- تكوين مهمة Windows لقراءة بيانات التدقيق وكتابتها في أحداث windows
قم بتثبيت مهمة Windows المجدولة وتكوينها لقراءة سجلات التدقيق في SQL وكتابتها كأحداث Windows. سيتم تجميع أحداث Windows هذه بواسطة العامل وإعادة توجيهها إلى Microsoft Sentinel.
لاحظ أنه سيتم تخزين البيانات من جميع الأجهزة في مساحة العمل المحددة
2.1 انسخ ملفات الإعداد إلى موقع على الخادم.
2.2 تحديث معلمات البرنامج النصي ALC-WebCTRL-AuditPull.ps1 (المنسخة في الخطوة أعلاه) مثل اسم قاعدة البيانات الهدف ومعرف حدث windows. راجع التعليقات في البرنامج النصي لمزيد من التفاصيل.
2.3 تحديث إعدادات مهمة windows في ملف ALC-WebCTRL-AuditPullTaskConfig.xml الذي تم نسخه في الخطوة أعلاه وفقا للمتطلبات. راجع التعليقات في الملف لمزيد من التفاصيل.
2.4 تثبيت مهام windows باستخدام التكوينات المحدثة المنسخة في الخطوات أعلاه
تشغيل الأمر التالي في powershell من الدليل حيث يتم نسخ ملفات الإعداد في الخطوة 2.1
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- التحقق من صحة الاتصال
اتبع الإرشادات للتحقق من صحة الاتصال:
افتح Log Analytics للتحقق مما إذا كانت السجلات مستلمة باستخدام مخطط الحدث.
قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.
إذا لم يتم تلقي السجلات، فتحقق من صحة الخطوات أدناه لأي مشكلات في وقت التشغيل:
- تأكد من إنشاء المهمة المجدولة ومن أنها في حالة التشغيل في Windows Task Scheduler.
- التحقق من وجود أخطاء في تنفيذ المهمة في علامة تبويب المحفوظات في Windows Task Scheduler للمهمة التي تم إنشاؤها حديثا في الخطوة 2.4
- تأكد من أن جدول تدقيق SQL يتكون من سجلات جديدة أثناء تشغيل مهمة windows المجدولة.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.